zoukankan      html  css  js  c++  java
  • 三十七:WEB漏洞-反序列化之PHP&JAVA全解(上)

    PHP反序列化

    原理:未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,SQL注入,目录遍历等不可控后果。
        在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候有可能触发对象中的一些魔术方法。
    
    serialize()   //将一个对象转换为一个字符串
    unserialize() //将字符串转换为一个对象
    
    触发:unserialize函数的变量可控,文件中存在可利用的类,类中有魔术方法
    
    _construct() //创建对象时触发
    _destruct()  //对象被销毁时触发
    _call()  //在对象上下文中调用不可访问的方法时触发
    _callstatic()  //在静态上下文中调用不可访问的方法时触发
    _get()  //用于从不可访问的属性读取数据
  • 相关阅读:
    易语言常用源码
    ci的数据库地址
    格式化输出php数组
    mysql插入表情问题
    线程、进程与协程2
    线程、进程与协程
    if __name=='__main__"的作用
    动态导入模块
    面向对象补充之方法
    getpass模块
  • 原文地址:https://www.cnblogs.com/SnowSec/p/14350344.html
Copyright © 2011-2022 走看看